全文

(1)

-55-

学内

PC

へのセキュリティ調査の 結果について

総合情報基盤センター 助教 沖野 浩二 サイバーテロという言葉がニュースに取り上げられ、社会的な問題として、認識されている。

実際に、本学も多くのサイバー攻撃を受けている現状があり、これらのサイバー攻撃の被害を未 然に防ぐために、学内に対して、セキュリティ調査を行った。

本稿では、サイバー攻撃の現状とキュリティ調査の意義を述べ、今回のセキュリティ調査につ いて説明する。最後に今回の調査結果について述べる。

1. サイバー攻撃の現状

本学は、現状として多い日では、100万回 /日以上の攻撃を受けている。この攻撃の中 身を分析すると、

・攻撃の事前調査(Port scan SSHへのブルートフォース攻撃 ・実サービスへの攻撃

に分類できる。

実際には、SSHなどを除けば、頻繁な直 接攻撃を行うのではなく、事前に相手の情 報を収集することが多いという結果が分か る。

これは、現在のサイバー攻撃は、効率的 な攻撃を行うために、事前に収集された情 報を利用することが多いからだと考えられ る。具体的には、google 等の検索エンジン を利用し攻撃に利用するファイルがあるか 調査を行うことや、shodanhq( 1)などの サービス・OS検索エンジンを利用して攻撃 の成功確率が高いものに限って攻撃を行う ことが知られている。

図1 shodanhq Web Page

ここでは、shodanhq を利用して、ある メーカのPrinterを調べた例を示す(2)

2 Printerの検索

ただし、現在はこれらの検索を行うため には、ユーザ登録を行う必要がある。

実際に、本学で発生したインシデントと して、この shodanhq エンジンを利用し、

あるメーカのPrinterを特定し、攻撃された 事例がある。この攻撃では、shodanhqを利

用して、Printerの種類を特定した上で、こ

PrinterDefault Passwordを利用し、

無意味な印刷を多量に行う攻撃が行われた。

これらの攻撃では、攻撃者が事前に情報 を有しているために、OS やアプリ脆弱性、

初期設定や設定ミスに対し、効率的な攻撃 ができる。このような攻撃手法で情報を取 得した事例として、関東地方の公立大学に おけるNAS(Network Attached Storage) 設定ミスからの情報漏えいが挙げられる。

(2)

-56-

2. キュリティ確保の現状

2.1 FWでのセキュリティの確保の限界 このような状況な中で、セキュリティを 確保するには、FW等を利用し外部からの通 信をコントロールし、セキュリティを確保 することとなるが、大学においてすべての 外部からの通信を遮断することは難しい。

加えて、FW など外部からの通信のコント ロールでは、学内に入ってしまった Virus など、内部からの攻撃に対しては無力であ る。実際に学内で観測されたVirusPort Scanを行っている例を示す(図3)。

3 Virus感染PCからのPort Scan こ の 場 合 は 、 学 内 か ら 学 外 に 対 し て SMTP,HTP,HTTPS 等に対してアクセスし、

情報収集を行っている。過去に本学で検出 されたVirusには、同様の動作を学内のIP に対して行っているものも観測されている。

今後、持ち込みPCの増加により、このよう な内部からの攻撃が増えることは容易に想 像できる。

2.2 持ち込み機器のセキュリティ 本学では持ち込み情報機器への対応とし て、無線LAN環境が整備されている。2015 1月現在、ピーク時には1000台程度の情 報機器が接続されており、WindowsMac だけでなくAndroidiOSなどのスマート フォンやタブレットが接続されている。こ れらの持ち込み情報機器のセキュリティの 確保は各ユーザに任せられているが、実際 にセキュリティ対策を行っているユーザは 少ないと考えられる。特にAndroid 端末に 関して、セキュリティソフトを入れる必要 性を認識しているユーザは少ない。加えて

スマートフォン等に導入している OS だけ で な く 、 導 入 さ れ て い る ア プ リ に も

UPDATE が必要だと認識しているユーザ

はさらに少ない。

2.3 学内設置機器のセキュリティ 学内LANに接続される機器は、何もP Cやスマートフォンなど個人が利用する機 器だけでなく、複合機やPrinterNAS、ルー タなどもある。これらの機器にも、内部に OSやアプリが動作しており、またNetwork 越しに利用するために、admin などの管理 IDが設定されている場合が多い。

また、これらの機器上では、HTTP など のサービスが動作している場合がほとんど である。

しかし、機器の設置者が、管理者IDやサー ビスが攻撃に利用されることを防ぐために、

パスワードを変更することやファームウェ アのUPDATEを行うことは少ない。実際に、

これらの脆弱性を利用したWormが存在し、

Linux が組み込まれたルータに感染を広げ

ている。

2.4 Webサーバ等のセキュリティ 一般に Web 等のサーバは、OS 上に HTTPサーバ起動されるのが基本であり、

その上に目的に応じてPHPPerl, Java Servlet等のミドルウェアと呼ばれるアプ リケーションや DB サーバを組み合わせ て 構 築 さ れ る 。 有 名 な 例 と し て は 、 LAMP(Linux+Apache+MySQL+PHP,P erl 等)と呼ばれるものが代表的なもので ある。(図4)

図4 Webサーバの構成

これらのサーバに対して行われる代表的 な攻撃手法として代表的なものは、下記の ように構成要素ごとに挙げられる。(図5)

(3)

-57-

図5 Webサーバへの攻撃Point 実際にセキュリティを確保するためには、

これらのすべてを認識し、対応していく必 要がある。

2.5 EoL

20144月にMicrosoft社のWindowsXP EoL(End of Life)を迎えた。EoLは、製 品のセキュリティ・機能維持の終了を意味 し、EoL 後に、その OS を利用するには、

セキュリティを確保するための別の手段を 用意しなければならない。

Microsoft では、製品の EoL を通知して いるので、利用者は危ない Version を知る ことができるが、他のOSではEoLを通知 しているものは多くない。具体的には、Mac OS XAndroidは公表していない。また、

ハードウェアと一体としている複合機やN ASなども公開はされていない。これらの セキュリティ状態を管理者が知ることは難 しいのが現状である。

加えて、Web サーバ等のセキュリティで 述べたApacheMySQLJavaPHP どの OS 上で動作するミドルウェアにも同 様にEoLが存在し、セキュリティを守るに は、これらの情報も含めて、収集する必要 がある。

3. キュリティ調査の意義

ユーザは、導入時に意識的に危ない設定 を行うことはなく、外部からの攻撃で利用 されるセキュリティ上の問題は、ほとんど の場合、

・設定ミス

・初期Passwordの利用 ・導入後発見された脆弱性 ・他のシステムのID/Password

によるものである。管理者は、定期的に自 分の管理しているシステムに対して設定ミ スがないか、新しい脆弱性がないかを調べ て、それらの問題に対応する必要があるが、

実際にこれらの対応を行っている管理者は 少ない。

今回、導入後経過した機器のセキュリ ティ対策として、総情報基盤センターにて、

学内の機材に対して Scan Portおよび簡単 な攻撃を行った。特に、今回の調査では、

すべての脆弱性をなくすこと目的とはせず、

リスクの高いEoLを迎えたOSやメーカが 近年セキュリティ対策を行っていない OS や ミ ド ル ウ ェ ア 、 デ フ ォ ル ト ID

Passwordを利用している機器、外部から特

権を取得可能な脆弱性などの調査を行った。

Web アプリケーションの脆弱性診断はコス トやその攻撃によりシステム停止等が発生 する可能性があるため実行しなかった。

本調査では、予備調査として、センター 機器に対して業者の指導の下、調査を行い、

機器や評価方法を学んだうえで、センター 職員が学内のアドレスに対して調査判断を 行うこととした。調査に利用した機器はセ キュリティ検査ソフトウェアである、商用 Nessusを利用した。商用のセキュリティ ソフトウェアを利用することにより、正確 EoLや脆弱性情報など付加情報も含めて 判断することとなり、Port が空いているな どの簡単なセキュリティ調査ではない、よ り正確な情報が取得できる。加えて、調査 結果の可視化や検査結果の蓄積を行うこと ができる。

4. セキュリティ調査の結果

セキュリティ調査を行うと下記のような 情報が出力される。(図6)

6 セキュリティ調査 結果

(4)

-58-

IP毎にOS等の情報が判断され、そのPC における脆弱性数が表示される。その上で、

そのPCにおける脆弱性情報が、Port 毎に 次のようにまとめて表示される。(図 7

7 Port セキュリティ調査の結果 脆 弱 性 は 、 そ の 危 険 度 か ら Critical,High,Medius等に分類される。

今回の調査では、学内キャンパスに接続 している機器に対して調査を行った。事務 系のネットワークに関しては別途行うこと とした。

調査の結果は、100件程度のCritical(致 命的)が判明し、High(リスクが高い)と判 断されるものは、2000件を超えた。

脆弱性に対応するためには、これらの結 果 を ユ ー ザ に 通 知 す る 必 要 が あ る が 、

Nessusでは、これらの脆弱性に対して、

Synopsis :The remote host is running an obsolete operating system.

Description :According to its version, the remote Unix operating system is obsolete and is no longer maintained by its vendor or provider. Lack of support implies that no new security patches for the product will be released by the vendor. As a result, it is likely to contain security vulnerabilities.

Solution :Upgrade to a newer version.

Risk factor :Critical / CVSS Base Score : 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)

などの対応情報が示される。しかし、この 英語情報をそのままユーザに通知しても、

ユーザが理解できない場合も多いと考えら れた。そこで、今回は、

highの数がとても多い

・一台のマシンに複数の脆弱性

Criticalのマシンに多くの脆弱性が指摘 ということがデータにより判明したため、

Critical(致命的)と判断される機器を中心 に対策を進めることとした。

実際の対応は、Criticalと判断された機器に 対しては、次のような情報を提供すること した。名称や概要などの表題、対策方法に 関しては日本語化を行った。(図8

8 学内通知 情報の例 5.今後の課題

総合情報基盤センターでは、FW 等のセ キュリティ機器を運用するだけでなく、セ キュリティ情報を外部の機関やWeb等によ り収集し対応することを行っている。今後、

さらに、これらの機能を充実することが必 要だと考えられる。

加えて、外部からの攻撃を監視するシス テムを構築することにより、被害を最小化 するための研究を行っている。また、セキュ リティ調査の研修などを行い、セキュリ ティ能力の強化を行う必要がある。

しかし、現実にセキュリティを維持する ためには、各機器の管理者の意識が重要に なる。今後、定期的にこれらの調査を継続 するとともに、ユーザへの情報提供や教育 の拡充をすることが必要だと考えられる。

謝辞

今回のセキュリティ調査に関して、技術 指導を頂いた株式会社アズジェント様に深 謝いたします。また、ユーザへの通知に関 し、データ整理や日本語化を行った金森浩 治技術職員に感謝します。

Updating...

参照

Updating...

関連した話題 :